LinkedIn cede información a terceros sin consentimiento de sus usuarios

LinkedInParece que no se va a escapar ninguna tecnológica ni red social de cometer alguna pifia con los datos… LinkedIn fue denunciada el mes pasado por violar la privacidad de sus usuarios. El ciudadano de San Francisco, Kevin Low, demandó a la empresa por ceder información personal a diversos anunciantes sin su permiso, entre los que se encuentran IMR/Nielsen, Quancast, Scorecard Research y Doubleclick. Según la demanda (vía Eric Goldman), LinkedIn asocia los identificadores únicos de sus usuarios gracias a las cookies y “beacons” de terceras empresas, y hace paquetes de información del siguiente modo:

1.- Al registrarse en el servicio, asigna a cada miembro un número único (ID) que se asocia al nombre del usuario

2.- Las páginas del sitio de LinkedIn enlazan y transmiten el ID gracias a las diferentes cookies, puesto que hay colocados “beacons” de terceros en éstas.

3.- LinkedIn envía ese paquete de información no sólo una vez, sino que lo va poniendo al día cada vez que se entra en el servicio y se visitan esas páginas. Y de dos formas diferentes: una, enviando las cabeceras (“HTTP Referer”), que indican qué página está visitando el usuario, y otra, añadiendo explícitamente la ID del usuario como un parámetro URL cuando se solicita una página.

Lo cierto es que la demanda está muy bien fundamentada, y de entre sus razonamientos, me quedo con el siguiente:

LinkedIn ha cedido información personal identificable del Sr. Low en conexión con su historial de navegación sin su consentimiento. Si se le hubiera dado ocasión, el Sr. Low no hubiera permitido que se cediera su historial a terceras partes, sintiéndose humillado y avergonzado por la divulgación de su historial. Por otra parte, el historial de navegación del Sr. Low es una valiosa propiedad personal con un valor de mercado. Como resultado de este comportamiento ilegal, se ha utilizado este historial sin dar al Sr. Low la compensación que se merece.

¿Podemos considerar el historial de navegación como una propiedad? Más que una propiedad, ya estamos hablando de una mercancía de tráfico común para las páginas web y las empresas anunciantes. En este caso ya incluso no hacen falta grandes esfuerzos para identificar a la persona a la que pertenece el historial de navegación, porque ya la red social se encarga de enviar esa información.

Lo más penoso es que LinkedIn indica en su política de privacidad que “la privacidad de los usuarios es muy importante para LinkedIn. No vendemos, alquilamos ni ofrecemos de modo alguno sus datos personales a terceros con fines publicitarios”. Pues menos mal. Hay que recordar que les ocurre lo mismo que en el caso de Google Buzz: si LinkedIn no se hubiera comprometido a nada, no estaría obligado a nada. Pero al afirmar que no se ceden datos a terceros, cualquier acción contraria a ese compromiso puede considerarse como una práctica engañosa.

Con que se hubiera indicado lo que se hace realmente, y con qué información, no hubiera sucedido nada en absoluto. Los usuarios hubieran estado informados sobre las finalidades para las que se emplean tanto sus perfiles como su historial de navegación. Desconozco qué grado de impacto hubiera tenido sobre el número de usuarios de LinkedIn, pero apostaría a que casi ninguno: recordemos que los usuarios no leen esas políticas de privacidad, y si lo hicieran, costaría demasiado

Apple había avisado, no es para tanto… ¿o sí?

Este miércoles pasado Peter Warden y Alasdair Allan anunciaron en la conferencia Where 2.0 que Apple recogía datos de localización de los iPhone/iPpad sin que los usuarios tuvieran conocimiento de ello. Su intervención está disponible aquí. El revuelo ha sido tremendo, y Apple sigue sin dar señales de vida para explicarlo.

Cualquier iPhone o iPad 3G con el sistema operativo iOS4, lanzado en junio de 2010, almacena datos de localización en un fichero ((Library/Caches/locationd/consolidated.db) que se puede encontrar en los dispositivos y en cualquier PC/Mac con el que sincronicen porque se copian en éstos. El fichero almacena latitud y longitud, y además la hora en la que se recoge esa información. Si antes esos datos estaban sólo en manos de las operadoras de telecomunicaciones, ahora resulta que tras esta acción de Apple, están guardados en los dispositivos móviles y los ordenadores de los usuarios, y además sin proteger de ningún modo.

No está claro para qué se utiliza esta información, pero tal y como cuentan en F-Secure, es bastante más que probable que Apple esté fabricando su propia base de datos global de localización, una vez que ha prescindido de los caros servicios de Skyhook. Ahora, igual que Google aprovechó para intentar construir su propia base de datos con sus coches mientras elaboraba el Google Street View, Apple aprovecha a sus usuarios, que son más y por supuesto más baratos que poner un coche en circulación.

Nuestros iPad/iPhone envían dos veces al día a Apple la información de localización que generan. Así viene indicado en la carta de contestación que Apple envió al Congresista Ed Markey cuando preguntó en junio de 2010 sobre la política de privacidad y servicios de localización de la empresa. Ayer mismo Markey volvió a preguntar, “¿se trata de iPhone, o de iTrack?“… Supongo que Apple contestará que ya ha informado a los usuarios de ésto en su “política de privacidad“:

Servicios de localización

Para prestar servicios de localización (Location Based Services – LBS) en relación con productos de Apple, tanto Apple como sus socios y licenciatarios podrán recoger, utilizar y compartir datos precisos sobre localizaciones, incluyendo la localización geográfica a tiempo real de suordenador o dispositivo Apple. Dichos datos de localización son recogidos anónimamente de forma que no puedan utilizarse para identificarle personalmente y son utilizados por Apple y sus socios y licenciatarios para suministrar y mejorar sus productos y servicios de localización. Por ejemplo, podremos compartir su localización geográfica con proveedores de aplicaciones cuando usted acepte participar en los servicios de localización.

Apple no considera los datos de localización como datos de carácter personal, y dice recogerlos “anónimamente”. Pero ya me contarán cómo, porque cada dispositivo tiene un identificador único que a su vez está asociado con un usuario registrado. En España esto sería considerado medio más que razonable por el que identificar sin esfuerzo a una persona física. En Estados Unidos se están preparando las primeras acciones legales por considerar esta práctica como desleal con el consumidor, no tardaremos en verlas.

Este “incidente”, por llamarlo de alguna manera, es más que un indicio de la carrera que ya han emprendido las grandes tecnológicas para prestar servicios de publicidad utilizando la geolocalización. Es lógico y normal que los gigantes Google y Apple están intentando construir estas bases de datos, les hace falta un buen mapa de antenas y de redes Wi-Fi para poder afinar. ¿Podemos imaginarnos la construcción de semejante mapa con la normativa española de protección de datos? Una vez más, desventaja competitiva europea/española, o invasión de la vida privada por la tecnología, tomémoslo como queramos.

Por cierto, para quien no quiera sorprenderse con lo que queda por venir, recomiendo la lectura del libro “Everyware: the dawning age of ubiquitous computing”, de Adam Greenfield. Escrito en 2006, ya preludiaba lo que se ha dado en llamar “el Internet de los objetos”.